本文旨在向您展示如何快速修复最常见的Java安全代码冲突。 它假定您熟悉代码规则和违规的概念以及Sonar如何对其进行报告。 但是，如果您以前从未听说过这些术语，则可以阅读Sonar Concepts或即将出版的有关Sonar的书 ，以获取更详细的解释。

为了获得一个想法，在Sonar分析期间，您的项目会被许多工具扫描，以确保源代码符合您在质量配置文件中创建的规则。 每当违反规则时…就会引发违反。 使用Sonar，您可以通过违规深入视图或在源代码编辑器中跟踪这些违规。 有数百条规则，根据其重要性进行分类。 在以后的文章中，我会尽我所能覆盖尽可能多的内容，但现在让我们来看一些常见的安全规则/违规行为。 我们现在要检查两对规则（在Sonar中它们都被列为关键）。

1.数组直接存储（ PMD ），方法返回内部数组（ PMD ）

当内部数组存储或直接从方法返回时，会出现这些冲突。 以下示例说明了违反这些规则的简单类。

public class CalendarYear {private String[] months;public String[] getMonths() {return months;    }public void setMonths(String[] months) {this.months = months;}
}

要消除它们，您必须在存储/返回它之前克隆Array，如以下类实现所示，因此没有人可以修改或获取您类的原始数据，而只能修改它们的副本。

public class CalendarYear {private String[] months;public String[] getMonths() {return months.clone();    }public void setMonths(String[] months) {this.months = months.clone();}
}

2.传递给SQL语句（ findbugs ）上的execute方法的非恒定字符串，并从非恒定String （findbugs ）生成准备好的语句

使用JDBC库时，这两个规则都与数据库访问有关。 通常，有两种方法可以通过JDBC连接执行SQL Commants：Statement和PreparedStatement。 关于优缺点，有很多讨论，但这超出了本文的范围。 让我们看看如何根据以下源代码片段引发第一次违规。

Statement stmt = conn.createStatement();
String sqlCommand = 'Select * FROM customers WHERE name = '' + custName + ''';
stmt.execute(sqlCommand);

您已经注意到传递给execute方法的sqlcommand参数是在运行时动态创建的，此规则不接受。 类似情况会导致第二次违规。

String sqlCommand = 'insert into customers (id, name)  values (?, ?)';
Statement stmt = conn.prepareStatement(sqlCommand);

您可以通过三种不同的方法来克服此问题。 您可以使用StringBuilder或String.format方法来创建字符串变量的值。 如果适用，可以在类声明中将SQL Commands定义为Constant，但这仅适用于不需要在运行时更改SQL Command的情况。 让我们使用StringBuilder重新编写第一个代码段

Statement stmt = conn.createStatement();
stmt.execute(new StringBuilder('Select FROM customers WHERE name = '').append(custName).append(''').toString());

并使用String.format

Statement stmt = conn.createStatement();
String sqlCommand = String.format('Select * from customers where name = '%s'', custName);
stmt.execute(sqlCommand);

对于第二个示例，您可以仅声明sqlCommand，如下所示

private static final SQLCOMMAND = insert into customers (id, name)  values (?, ?)';

还有更多安全规则，例如阻止程序Hardcoded常量数据库密码，但是我认为没有人仍然在源代码文件中对密码进行硬编码…

在接下来的文章中，我将向您展示如何遵守性能和不良实践规则。 在此之前，我一直在等待您的意见或建议。

祝您编程愉快，别忘了分享！

参考：在Only Only软件问题博客上，从我们的JCG合作伙伴 Papapetrou P. Patroklos 修复了Sonar中常见的Java安全代码冲突 。